Bonjour à tous,
Je prends la peine d'écrire un journal pour relater ma première expérience de ce qui ressemble à un virus sur/sous linux !
(après recherche sur le site je n'ai pas trouvé de témoignage)
Bon en fait c'est indirecte, je n'ai pas été touché personnellement. Je vous décrit la situation :
C'est un ami proche qui utilise presque exclusivement linux et dont le niveau de compétence est très bon
sans qu'il soit pour autant ingénieur système. Je dis cela pour que vous compreniez qu'il est relativement
prudent.
Depuis un mois il s'est rendu compte de dysfonctionnement au niveau de la connexion internet (coupures
régulières). Après une discussion avec Free ("c'est pas nous c'est vous !") il apparaît effectivement
que sur un poste du réseau locale un processus, root avec un nom aléatoire, occupe beaucoup de ressource
processeur et envoie des informations sur internet. Si on le kill il réapparaît sous un autre nom (aléatoire toujours).
Voyant cela mon pote a fait une réinstallation (après formatage) et tout va mieux.
Bin mince, moi qui croyait être à l'abri ! A moins bien sur que je me trompe et que ce n'est pas un virus (alors c'est quoi ?).
Si vous avez une idée sur (i) le scénario d'infection (ii) la nature du virus (iii) pourquoi ça coupe internet (Free ?)
ps: Bonne année à tous
# Commentaire supprimé
Posté par Anonyme . Évalué à 10.
Ce commentaire a été supprimé par l’équipe de modération.
# Virus != Malware
Posté par Tonton Benoit . Évalué à 10.
Un virus se définit par sa capacité de se dupliquer et se répandre de façon autonome.
Pour voir si c'est un virus il aurait-été bon de garder une image de l’ancien systeme pour analyser le binaire.
Après y'a d'autres moyens de placer un malware sur une machine, ssh accessible avec un mot de passe trop simple, exécution d'un programme d'une source non fiable…
# il s'y connait, mais il a installé n'importe quoi ?
Posté par NeoX . Évalué à 10.
ton ami, il n'aurait pas installé un binaire provenant d'internet, en dehors de son gestionnaire de paquet, avec un script qu'il faut lancer avec
sudo run_mon_install.sh[^] # Re: il s'y connait, mais il a installé n'importe quoi ?
Posté par gnumdk (site web personnel) . Évalué à 8.
Ou un .deb trouvé sur KDE/gnome-look…
[^] # Re: il s'y connait, mais il a installé n'importe quoi ?
Posté par stopspam . Évalué à 2.
Ou un copier-coller foireux dans bash…
Depuis le temps qu'on le dit qu'il faut un antivirus sous linux.
[^] # Re: il s'y connait, mais il a installé n'importe quoi ?
Posté par Nitchevo (site web personnel) . Évalué à 3.
Les utilisateurs sont une plaie pour la sécurité et un ordinateur éteint pose rarement des problèmes de saturation du processeur mais expliquer la présence de malware en se fixant sur cette seule faiblesse aurait permis de présenter w95 comme un système sécurisé.
D'un autre côté des virus sous Linux c'est plutôt une bonne nouvelle: nous devenons des utilisateurs normaux d'un OS normal!
[^] # Re: il s'y connait, mais il a installé n'importe quoi ?
Posté par ze_lionix (site web personnel) . Évalué à 2.
Il y en a un : clamav !
Il ne fait que de la détection mais fait bien le boulot…
Moi je l'ai adossé au CRM et cela évite qu'on balance des m… dedans !
Fuse : j'en Use et Abuse !
# Impression de déjà vu
Posté par grim7reaper . Évalué à 10.
Ta description me rappelle ce qui est arrivé à quelqu’un qui avait une Debian pas à jour dans un VM (à l’époque des faille Bash, mais on ne sait pas si ça a été le vecteur d’infection) et s’est fait vérolé.
Il avait un processus au nom improbable (eiccyumxzl) qui bouffait beaucoup de CPU et faisait beaucoup de trafic réseau (probablement pour faire un DOS).
J’avais récupéré l’exécutable pour en faire une analyse (surtout que le binaire est non strippé et avec les symboles de débug, ça sent le script kiddie…) mais j’ai pas encore eu le temps. Quelqu’un d’autre avait commencé et était aller assez loin (récupération et décodage de la conf à partir du serveur de C&C).
[^] # Re: Impression de déjà vu
Posté par octane . Évalué à 3.
Si tu as encore le binaire, je le veux bien.
# Ça m'est arrivé une fois
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 7.
Une vieille installation manuelle de phpBB qui trainait, complètement troué. Quelqu'un en profité pour lancer un script qui envoyait des tas de paquets UDP sur une IP donnée, un DDOS sauf erreur.
# Les FAI sont clean maintenant ?
Posté par Nerach . Évalué à -3. Dernière modification le 02 janvier 2015 à 04:05.
C'est un poil HS
Ce passage m'a fais rire, si c'est le signe d'une infection, je ressens les symptômes depuis des années… Et c'est du lourd, ça infecte tous les systèmes de la maison en même temps, c'est magique, comme les coups de fil à la hotline qui te donne un boost temporaire de 2/3Mo en DL.
# Point 3, une piste…
Posté par bobo38 . Évalué à 3.
Lors de la programmation d'un « data miner » web en Python, j'ai pu faire l'expérience de la connexion internet down pendant quelques minutes, puis 10-15 minutes (et probablement crescendo). Cela peut peut-être correspondre aux symptômes du point 3 chez ton pote.
Je m'étais chié dans la gestion des exceptions de urllib.request.urlopen. Mon script faisait une nouvelle requête en cas d'échec, pour lutter contre les erreurs de time-out. Çà posait problème avec les requêtes à des urls inexistantes (boucle infinie).
Mon interprétation a été que l'opérateur internet coupe la connexion internet en cas de trafic abusif/anormal (en tout cas celui généré par mon script). Dans mon cas si le problème persistait la durée de la coupure semblait augmenter.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.